Авторизация в экосистеме с проверяемой базой учетных данных

Экосистемы на основе проверяемых учетных данных обещают решить проблему аутентификации. Мне любопытно узнать, как эта модель распространяется на традиционную систему Oauth2, где отвечающая сторона (приложение) вызывает API (ресурс), который защищен службой OIDC. Хотя приложение все еще может проверять учетные данные пользователя, как API авторизует приложение? какие у нас есть варианты?